@ignorenonframefalse

Индивидуальный проект

Этап 3

Кармацкий Н. С. Группа НФИбд-01-21

Российский университет дружбы народов, Москва, Россия

7 Сентября 2024

Цель работы

Приобретение практических навыков по использованию инструмента Hydra для брутфорса паролей.

Задание

  1. Реализовать эксплуатацию уязвимости с помощью брутфорса паролей.

Теоретическое введение

  • Hydra используется для подбора или взлома имени пользователя и пароля.
  • Поддерживает подбор для большого набора приложений [@brute, @force, @parasram].

Выполнение лабораторной работы

Список паролей 1

Для того, чтоб пробрутфорсит пароль, нужно сначала найти список частоиспользуемых паролей. Он есть уже в Kali Linux, поэтому нам нужно только его найти и разархивировать каталога с ним (рис. 1).

Список пароле(в архиве и без)

Список паролей 2

Прочитаем файл, чтоб удостовериться что это он (рис. 2).

Чтение файла

Сайт DVWA

Заходим на сайт DVWA, в подпункт с Brute Force. Тут мы будм проверять правильность выданных данных с помощью Hydra (рис. 3).

Сайт DVWA

Запрос Hydra 1

Вводим в Hydra нужную информацию. пароль будем подбирать для пользователя admin, используя GET-запрос с двумя параметрами cookie: безопасность и PHPSESSID(параметры cookie) (рис. 5).

Запрос Hydra

Запрос Hydra 2

Спустя небольшое количество времени получаем результат в виде подходящий пароля и логина для конкретного юзера (рис. 6).

Результат запроса

Ввод данных в уязвимую форму

Вводим полученные данные на проверку (рис. 7).

Ввод данных в уязвимую форму

Результат

Получааем положительный результат проверки пароля, а это значит что все сделано верно (рис. 8)

Результат

Выводы

Приобрели практические навыки по использованию инструмента Hydra для брутфорса паролей.

Список литературы

[1] https://spy-soft.net/rockyou-txt/ - Словарь Rockyou.txt где находится в Kali Linux